信息系統(tǒng)安全與維護卷5

v1.0可編輯可修改v1.0可編輯可修改PAGEPAGE10v1.0可編輯可修改PAGE信息系統(tǒng)安全與維護卷五一、選擇題1、《基本要求》分為技術要求和管理要求，其中技術要求包括物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和A、整體安全B、數(shù)據(jù)安全C、操作系統(tǒng)安全D、數(shù)據(jù)庫安全2、《基本要求》中管理要求中，下面那一個不是其中的內(nèi)容A、安全管理機構B、安全管理制度C、人員安全管理D、病毒安全管理3、技術類安全要求按其保護的測重點不同，將依據(jù)三類控制點進行分類，其中S類代表是業(yè)務信息安全類，A類代表是什么A、通用安全保護等級B、業(yè)務服務保證類（應為系統(tǒng)服務保證類）C、用戶服務保證類D業(yè)務安全保證類4、物理層面安全要求包括物理位置、物理訪問控制、防盜竊和防破壞等，其中不是物理安全范圍的是什么A、防靜電B、防火C、防水和防潮D、防攻擊5、應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難，所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復部分功能是幾級要求。A、一級B、二級C、三級D、四級6、網(wǎng)絡安全主要關注的方面包括：結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、等七個控制點。A、網(wǎng)絡設備防護B、網(wǎng)絡設備自身安全C、網(wǎng)絡邊界D、網(wǎng)絡數(shù)據(jù)7、管理要求包括項（應為基本要求包括多少類）A、10B、11C、12D、138、《測評準則》和是對用戶系統(tǒng)測評的依據(jù)（《測評準則》現(xiàn)已被《測評要求》替代）A、《信息系統(tǒng)安全等級保護實施指南》B、《信息系統(tǒng)安全保護等級定級指南》C、《信息系統(tǒng)安全等級保護基本要求》D、《信息系統(tǒng)安全等級保護管理辦法》9、應用安全包括身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性和_____。A、抗抵賴、軟件容錯、資源控制B、不可否認性、軟件容錯、資源控制C、抗抵賴、軟件刪除、資源控制D、抗抵賴、軟件容錯、系統(tǒng)控制10、安全管理機構包括_____控制點A、3B、4C、5D、611、《基本要求》是針對一至級的信息系統(tǒng)給出基本的安全保護要求。（注意《基本要求》第9章為空白）A、2B、3C、412、基本要求的選擇和使用中，定級結果為S3A2，保護類型應該是。A、S3A2G1B、S3A2G2C、S13、二級信息系統(tǒng)保護要求的組合包括:S1A2G2，S2A2G2，A、S2A1G2B、S1A2G3C、S14、安全管理制度主要包括：管理制度、制定和發(fā)布、三個控制點。A、評審和修訂B、修改C、審核D、閱讀15、數(shù)據(jù)安全包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、。A、數(shù)據(jù)備份B、數(shù)據(jù)機密性C、數(shù)據(jù)不可否認性D、數(shù)據(jù)刪除性16、結構安全、訪問控制、安全審計是層面的要求。（注意：主機安全和應用安全均有訪問控制和安全審計控制點，但沒有結構安全控制點。結構安全控制點是網(wǎng)絡安全類獨有控制點）A、網(wǎng)絡B、主機C、系統(tǒng)D、物理17、電磁防護是層面的要求。A、網(wǎng)絡B、主機C、系統(tǒng)D、物理18、運營、使用單位應當參照《信息安全技術信息系統(tǒng)安全管理要求》GB/T20269-2006）、《信息安全技術信息系統(tǒng)安全工程管理要求》管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度A、測評準則B、基本要求C、定級指南D、實施指南19、主機系統(tǒng)安全涉及的控制點包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計等個控制點A、8B、9C20、數(shù)據(jù)安全及備份恢復涉及到、、3個控制點A、數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復B、數(shù)據(jù)完整性數(shù)據(jù)保密性不可否認性C、數(shù)據(jù)完整性不可否認性備份和恢復D、不可否認性數(shù)據(jù)保密性備份和恢復21、______標準為評估機構提供等級保護評估依據(jù)。A、基本要求B、測評指南C、評估實施指南D、定級指南22、人員管理主要是對人員的錄用、人員的離崗、、安全意識教育和培訓、第三方人員訪問管理5個方面A、人員教育B、人員裁減C、人員考核D、人員審核23、安全管理制度包括管理制度、制定和發(fā)布和_______A、審核B、評審和修訂C、修訂D、評審24、每個級別的信息系統(tǒng)按照進行保護后，信息系統(tǒng)具有相應等級的基本安全保護能力，達到一種基本的安全狀態(tài)。A、基本要求B、分級要求C、測評準則D、實施指南25、《基本要求》的管理部分包括安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、__________。A、系統(tǒng)運維B、人員錄用C、管理運行D、系統(tǒng)運行26、環(huán)境管理、資產(chǎn)管理、介質(zhì)管理都屬于安全管理部分的_______管理。A、人員管理B、安全管理機構C安全管理制度、D、系統(tǒng)運維管理27、系統(tǒng)建設管理中要求，對新建系統(tǒng)首先要進行______，在進行方案設計。A、定級B、規(guī)劃C、需求分析D、測評28、從___級系統(tǒng)開始，基本要求中有規(guī)定要作異地備份。A、2B、3C29、系統(tǒng)定級、安全方案設計、產(chǎn)品采購等是______部分要求。A、系統(tǒng)建設管理B、系統(tǒng)運維C、數(shù)據(jù)安全D、主機安全30、四級系統(tǒng)中，物理安全要求共有________項A、8B、9C、10答案:1、B2、D3、B4、D、5、B6、A7、A8、C9、A10、C11、C12、C13、A14、A15、A16、A17、D18、B19、B20、A21、A22、C23、B24、A25、A26、D27、A28、B29、A30、C五、測評準則（已被《測評要求》替代）1、《信息安全等級保護管理辦法》中要求，第三級信息系統(tǒng)應當每年至少進行A次等級測評A、一B、二C、三D、四2、《信息安全等級保護管理辦法》中要求第三級以上信息系統(tǒng)應當選擇符合下列條件C、D的等級保護測評機構進行測評：A、在中華人民共和國境內(nèi)注冊成立；B、由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位；C、具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；D、工作人員僅限于中國公民。3、《信息安全等級保護管理辦法》中要求從事信息系統(tǒng)安全等級測評的機構，應當履行下列A、B、C、D義務。A、遵守國家有關法律法規(guī)和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質(zhì)量和效果。B、保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私。C、防范測評風險。D、對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。A、審批B、備案C、審批+備案5、在《廣東省公安廳關于計算機信息系統(tǒng)安全保護的實施辦法》中規(guī)定第B級以上的計算機信息系統(tǒng)建設完成后，使用單位應當委托符合規(guī)定的測評機構安全測評合格方可投入使用。A、一B、二C、三D、四6、計算機信息系統(tǒng)運營、使用單位委托安全測評機構測評，應當提交下列資料的主要有：A、B、C、D。A、安全測評委托書。B、定級報告。C、計算機信息系統(tǒng)應用需求、系統(tǒng)結構拓撲及說明、系統(tǒng)安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。D、安全策略文檔。7、信息安全等級測評機構對計算機信息系統(tǒng)進行使用前安全測評，應當預先報告B公共信息網(wǎng)絡安全監(jiān)察部門。A、縣級以上公安機關B、地級以上市公安機關C、省公安廳D、公安部8、信息安全等級測評機構有下列行為之一的A、B、C、D，由所在地公安機關公共信息網(wǎng)絡安全監(jiān)察部門責令改正，并予以通報。對已辦理備案的，收回備案證書。觸犯有關法律、法規(guī)和規(guī)章的，依法追究法律責任。A、偽造、冒用信息安全等級測評機構備案證書的；B、轉(zhuǎn)讓、轉(zhuǎn)借信息安全等級測評機構備案證書的；C、出具虛假、失實的信息安全等級測評結論的；D、泄露測評活動中掌握的國家秘密、商業(yè)秘密和個人隱私的；9、計算機信息系統(tǒng)投入使用后，存在下列情形之一的A、B、C、D，應當進行安全自查，同時委托安全測評機構進行安全測評：A、變更關鍵部件。B、安全測評時間滿一年。C、發(fā)生危害計算機信系統(tǒng)安全的案件或安全事故。D、公安機關公共信息網(wǎng)絡安全監(jiān)察部門根據(jù)應急處置工作的需要認為應當進行安全測評。10、申請單位認為安全測評報告的合法性和真實性存在重大問題的，可以向A公共信息網(wǎng)絡安全監(jiān)察部門提出申訴，提交異議申訴書及有關證明材料。A、本單位所在地公安機關B、地級以上市公安機關C、省公安廳D、公安部11、等級保護測評的執(zhí)行主體最好選擇：B。A、獨立的第三方測評服務機構。B、具有相關資質(zhì)的、獨立的第三方測評服務機構。C、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務機構。D、具有相關資質(zhì)的、從事系統(tǒng)集成和信息安全產(chǎn)品開發(fā)等安全服務機構。12、安全保護等級為第三級以上的計算機信息系統(tǒng)應當選用符合下列條件A、B、C、D的安全專用產(chǎn)品：A、產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格。B、產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權。C、產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄。D、產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能。13、三級及以上信息系統(tǒng)的物理訪問控制應滿足以下A、B、C、D要求：A、機房出入口應安排專人值守，控制、鑒別和記錄進入的人員。B、需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。C、應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域。D、重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。14、三級及以上信息系統(tǒng)的網(wǎng)絡安全審計應滿足以下A、B、C、D要求：A、應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；B、審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；C、應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；D、應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。15、三級及以上信息系統(tǒng)的應用安全身份鑒別應滿足以下A、B、C、D要求：A、應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；B、應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；C、應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；D、應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。16、三級及以上信息系統(tǒng)的應用安全資源控制應滿足以下A、B、C、D要求：A、應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制。B、應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額。C、應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警。D、應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。17、三級信息系統(tǒng)的人員錄用應滿足以下要求：A、B、C。A、應指定或授權專門的部門或人員負責人員錄用。B、應嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術技能進行考核。C、應簽署保密協(xié)議。D、可從所有人員中選拔從事關鍵崗位的人員，并簽署崗位安全協(xié)議。18、三級信息系統(tǒng)的管理制度包括如下A、B、C內(nèi)容。A、應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；B、應對安全管理活動中的各類管理內(nèi)容建立安全管理制度；C、應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；D、應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。19、三級信息系統(tǒng)的系統(tǒng)定級包括如下A、B、C、D內(nèi)容。A、應明確信息系統(tǒng)的邊界和安全保護等級。B、應以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由。C、應組織相關部門和有關安全技術專家對信息系統(tǒng)定級結果的合理性和正確性進行論證和審定。D、應確保信息系統(tǒng)的定級結果經(jīng)過相關部門的批準。20、三級信息系統(tǒng)的外包軟件開發(fā)包括如下A、B、C、D內(nèi)容。A、應根據(jù)開發(fā)需求檢測軟件質(zhì)量。B、應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。C、應要求開發(fā)單位提供軟件設計的相關文檔和使用指南。D、應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。21、三級信息系統(tǒng)的惡意代碼防范管理包括如下A、B、C、D內(nèi)容。A、應提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢查。B、應指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄。C、應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。D、應定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產(chǎn)品、防病毒網(wǎng)關和郵件防病毒網(wǎng)關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。22、對三級信息系統(tǒng)的人員配備包括如下A、B、C、D內(nèi)容。A、應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等。B、應配備專職安全管理員，不可兼任。C、關鍵事務崗位應配備多人共同管理。D、應配備系統(tǒng)審計員，加強對管理員工作的監(jiān)督。23、三級信息系統(tǒng)的測試驗收包括如下A、B、C、D內(nèi)容。A、應委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告；B、在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告；C、應指定或授權專門的部門負責系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；D、應組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定，并簽字確認。24、三級信息系統(tǒng)的等級測評包括如下